Van egy helyi hálónk, ami debian tűzfallal van kiengedve a netre, és az egyik felhasználó MSN-ezni szeretne egyik windowsos gépről, és meg kellene nyitni asszem a 1038-as portot.
Teljesen kezdő linuxosként szeretném megcsinálni.
Légyszi segitsetek.
iptables van. dhcp-vel kapnak a gépek cimet, tehát bármelyik gépről lehessen MSN-ezni, az lenne
a cél.
előre is köszi
- 4590 megtekintés
Hozzászólások
milyen tűzfallal? ill gondolom sima csomagszűrő szabálylánc van amit vmi konfigurál...
amúgy msn sztem 1863 -as porton megy...
- A hozzászóláshoz be kell jelentkezni
IPTABLES -A INPUT -p tcp --dport 1863 -j ACCEPT
- A hozzászóláshoz be kell jelentkezni
ha az OUTPUT chain -en nincs korlátozás akkor ez jó, de ha van akkor ugyanezt meg kell ene oda is
szerk:
nem biztos hogy -A -val jó lesz, kérdés hogy miként épül fel a szabálylánc, mert ha az utsó rule -j DROP akkor -A helyett inkább -I, de nagyban függ attól h mit és hogyan használnak
- A hozzászóláshoz be kell jelentkezni
van egy ipfw.sh szkript, amiben ezek a szabályok vannak, gondolom abba kell beszúrni valahova ezt az új szabályt. lehet a végére is? vagy valahova máshova kell?
- A hozzászóláshoz be kell jelentkezni
hát ha megosztanád azt velünk akkor megmondanánk h pl hova lehetne beszúrni... a nélkül nehéz lenne megmondani!
- A hozzászóláshoz be kell jelentkezni
világos, mindenképpen mellékelni fogom nemsokára..
addig is köszi
- A hozzászóláshoz be kell jelentkezni
EBTABLES=/sbin/ebtables
BELSO_IFACE=br0
echo "1" > /proc/sys/net/ipv4/ip_forward
modprobe ip_nat_ftp
modprobe ip_nat_irc
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
#=================================================
#============= NAT beallitas =====================
#=================================================
$IPTABLES -F PREROUTING -t nat
$IPTABLES -F POSTROUTING -t nat
$IPTABLES -A POSTROUTING -t nat -j MASQUERADE -s $IP_BELSO
#=================================================
#============= Inicializalas =====================
#=================================================
$IPTABLES -F INPUT
$IPTABLES -P INPUT DROP
$IPTABLES -F FORWARD
$IPTABLES -P FORWARD DROP
$IPTABLES -F HIBAS_TCP
$IPTABLES -X HIBAS_TCP 2>/dev/null
$IPTABLES -F UDP_INPUT
$IPTABLES -X UDP_INPUT 2>/dev/null
$IPTABLES -F TCP_INPUT
$IPTABLES -X TCP_INPUT 2>/dev/null
$IPTABLES -F UDP_FORWARD
$IPTABLES -X UDP_FORWARD 2>/dev/null
$IPTABLES -F TCP_FORWARD
$IPTABLES -X TCP_FORWARD 2>/dev/null
$IPTABLES -F ICMP
$IPTABLES -X ICMP 2>/dev/null
$IPTABLES -F DLOG
$IPTABLES -X DLOG 2>/dev/null
#=================================================
#=========== Naplozas, es eldobas =========
#=================================================
$IPTABLES -N DLOG
$IPTABLES -A DLOG -j LOG --log-prefix "Hibas csomag: "
$IPTABLES -A DLOG -j REJECT
#=================================================
#=========== Hibas TCP csomagok kiszurese =======
#=================================================
$IPTABLES -N HIBAS_TCP
$IPTABLES -A HIBAS_TCP -p tcp ! --syn -m state --state NEW -j DLOG
$IPTABLES -A HIBAS_TCP -s 192.168.168.0/24 -j RETURN
$IPTABLES -A HIBAS_TCP -s $IP_BELSO -j RETURN
$IPTABLES -A HIBAS_TCP -s 192.168.0.0/16 -j DLOG
$IPTABLES -A HIBAS_TCP -s 10.0.0.0/8 -j DLOG
$IPTABLES -A HIBAS_TCP -s 172.16.0.0/12 -j DLOG
#=================================================
#======== UDP csomagok engedelyezese INPUT =======
#=================================================
$IPTABLES -N UDP_INPUT
$IPTABLES -A UDP_INPUT -j ACCEPT -p udp -s $IP_BELSO -d $IP_BELSO
$IPTABLES -A UDP_INPUT -j REJECT -p udp --dport 1900
#----DNS
$IPTABLES -A UDP_INPUT -j ACCEPT -p udp -s $IP_BELSO --dport 53
#----DHCP
$IPTABLES -A UDP_INPUT -j ACCEPT -p udp --dport 67
$IPTABLES -A UDP_INPUT -j ACCEPT -p udp --dport 68
#----SNMP
$IPTABLES -A UDP_INPUT -j ACCEPT -p udp -s $IP_BELSO --dport 161
#----OpenVPN
$IPTABLES -A UDP_INPUT -j ACCEPT -p udp --dport 1194
#====================================================
#=========== TCP csomagok engedelyezese INPUT =======
#====================================================
$IPTABLES -N TCP_INPUT
$IPTABLES -A TCP_INPUT -j ACCEPT -p tcp -s $IP_BELSO -d $IP_BELSO
#----FTP
#$IPTABLES -A TCP_INPUT -j ACCEPT -p tcp -s $IP_BELSO --dport 21
#----SSH
$IPTABLES -A TCP_INPUT -j ACCEPT -p tcp -s $IP_BELSO --dport 22
#----DNS
$IPTABLES -A TCP_INPUT -j ACCEPT -p tcp -s $IP_BELSO --dport 53
#----AUTH
$IPTABLES -A TCP_INPUT -j REJECT -p tcp --dport 113
#----MAIL
#$IPTABLES -A TCP_INPUT -j ACCEPT -p tcp -s $IP_BELSO --dport 25
#$IPTABLES -A TCP_INPUT -j ACCEPT -p tcp --dport 25
#----WEB
#$IPTABLES -A TCP_INPUT -j ACCEPT -p tcp --dport 80
#$IPTABLES -A TCP_INPUT -j ACCEPT -p tcp --dport 443
#----POP3
#$IPTABLES -A TCP_INPUT -j ACCEPT -p tcp -s $IP_BELSO --dport 110
#----PROXY
#$IPTABLES -A TCP_INPUT -j ACCEPT -p tcp -s $IP_BELSO --dport 3128
#======================================================
#=========== UDP csomagok engedelyezese FORWARD =======
#======================================================
$IPTABLES -N UDP_FORWARD
$IPTABLES -A UDP_FORWARD -j ACCEPT -p udp -s $IP_BELSO -d $IP_BELSO
#----DNS
$IPTABLES -A UDP_FORWARD -j ACCEPT -p udp --dport 53
$IPTABLES -A UDP_FORWARD -j ACCEPT -p udp --sport 53
#----TIME
$IPTABLES -A UDP_FORWARD -j ACCEPT -p udp --dport 37
$IPTABLES -A UDP_FORWARD -j ACCEPT -p udp --sport 37
#----TIME
$IPTABLES -A UDP_FORWARD -j ACCEPT -p udp --dport 123
$IPTABLES -A UDP_FORWARD -j ACCEPT -p udp --sport 123
#----vpn
$IPTABLES -A UDP_FORWARD -j ACCEPT -d 212.51.126.113 -p udp
$IPTABLES -A UDP_FORWARD -j ACCEPT -d 212.51.115.67 -p udp
$IPTABLES -A UDP_FORWARD -j ACCEPT -d 172.17.1.67 -p udp
$IPTABLES -A UDP_FORWARD -j ACCEPT -d 172.17.1.69 -p udp
$IPTABLES -A UDP_FORWARD -j ACCEPT -d 172.17.1.72 -p udp
#----SIEBEL
$IPTABLES -A UDP_FORWARD -j ACCEPT -d 145.236.99.251 -p udp
#----OTP
$IPTABLES -A UDP_FORWARD -j ACCEPT -p udp -s $IP_BELSO --dport 8003
#======================================================
#=========== TCP csomagok engedelyezese FORWARD =======
#======================================================
$IPTABLES -N TCP_FORWARD
$IPTABLES -A TCP_FORWARD -j ACCEPT -p tcp -s $IP_BELSO -d $IP_BELSO
#----VPN, WESTEL
$IPTABLES -A TCP_FORWARD -j ACCEPT -p tcp -d 212.51.126.113
$IPTABLES -A TCP_FORWARD -j ACCEPT -p tcp -d 212.51.115.67
$IPTABLES -A TCP_FORWARD -j ACCEPT -p tcp -d 194.176.224.12
$IPTABLES -A TCP_FORWARD -j ACCEPT -p tcp -d 194.176.224.6
$IPTABLES -A UDP_FORWARD -j ACCEPT -d 172.17.1.67 -p tcp
$IPTABLES -A UDP_FORWARD -j ACCEPT -d 172.17.1.69 -p tcp
$IPTABLES -A UDP_FORWARD -j ACCEPT -d 172.17.1.72 -p tcp
#----SIEBEL
$IPTABLES -A TCP_FORWARD -j ACCEPT -p tcp -d 145.236.99.251
#----FTP
$IPTABLES -A TCP_FORWARD -j ACCEPT -p tcp -s $IP_BELSO --dport 21
#----SSH
$IPTABLES -A TCP_FORWARD -j ACCEPT -p tcp -s $IP_BELSO --dport 22
#----IRC
$IPTABLES -A TCP_FORWARD -j ACCEPT -p tcp -s $IP_BELSO --dport 6666
$IPTABLES -A TCP_FORWARD -j ACCEPT -p tcp -s $IP_BELSO --dport 6667
$IPTABLES -A TCP_FORWARD -j ACCEPT -p tcp -s $IP_BELSO --dport 6668
$IPTABLES -A TCP_FORWARD -j ACCEPT -p tcp -s $IP_BELSO --dport 6669
#----ICQ
$IPTABLES -A TCP_FORWARD -j ACCEPT -p tcp -s $IP_BELSO --dport 5190
#----DNS
$IPTABLES -A TCP_FORWARD -j ACCEPT -p tcp -s $IP_BELSO --dport 53
#----MAIL
$IPTABLES -A TCP_FORWARD -j ACCEPT -p tcp --dport 25
#----WHOIS
$IPTABLES -A TCP_FORWARD -j ACCEPT -p tcp --dport 43
#----WEB
$IPTABLES -A TCP_FORWARD -j ACCEPT -p tcp --dport 80
$IPTABLES -A TCP_FORWARD -j ACCEPT -p tcp --dport 443
$IPTABLES -A TCP_FORWARD -j ACCEPT -p tcp --dport 8080
$IPTABLES -A TCP_FORWARD -j ACCEPT -p tcp --dport 8180
$IPTABLES -A TCP_FORWARD -j ACCEPT -p tcp --dport 81
#----POP3, POP3S
$IPTABLES -A TCP_FORWARD -j ACCEPT -p tcp -s $IP_BELSO --dport 110
$IPTABLES -A TCP_FORWARD -j ACCEPT -p tcp -s $IP_BELSO --dport 995
#----TIME
$IPTABLES -A TCP_FORWARD -j ACCEPT -p tcp -s $IP_BELSO --dport 37
$IPTABLES -A TCP_FORWARD -j ACCEPT -p tcp -s $IP_BELSO --dport 123
#----NEPTUN
$IPTABLES -A TCP_FORWARD -j ACCEPT -p tcp -s $IP_BELSO --dport 3389
#----NHH
$IPTABLES -A TCP_FORWARD -j ACCEPT -p tcp -s $IP_BELSO --dport 9090
#----OTP
$IPTABLES -A TCP_FORWARD -j ACCEPT -p tcp -s $IP_BELSO --dport 8003
#=========== ICMP csomagok engedelyezese =======
$IPTABLES -N ICMP
#----PING
$IPTABLES -A ICMP -j ACCEPT -p icmp --icmp-type 8
$IPTABLES -A ICMP -j ACCEPT -p icmp --icmp-type 11
#===============================================
#============= INPUT lanc ======================
#===============================================
$IPTABLES -A INPUT -j ACCEPT -s 212.51.126.113
$IPTABLES -A INPUT -j ACCEPT -p udp --dport 116
$IPTABLES -A INPUT -j ACCEPT -p udp --dport 500
$IPTABLES -A INPUT -j ACCEPT -p udp --dport 264
$IPTABLES -A INPUT -j HIBAS_TCP
$IPTABLES -A INPUT -j ACCEPT -s 127.0.0.1
$IPTABLES -A INPUT -p udp -j UDP_INPUT
$IPTABLES -A INPUT -p tcp -j TCP_INPUT
$IPTABLES -A INPUT -p icmp -j ICMP
$IPTABLES -A INPUT -j ACCEPT -m state --state RELATED,ESTABLISHED
#-- Tavfelugyelet
$IPTABLES -A INPUT -j ACCEPT -p tcp --dport 22
#--- SSH tavfelugyelet ------
$IPTABLES -A INPUT -j ACCEPT -p tcp -s 81.93.193.8 --dport 22
$IPTABLES -A INPUT -j ACCEPT -p tcp -s 62.112.222.155 --dport 22
#-- Eldobottak loggolasa
$IPTABLES -A INPUT -j DLOG
#=================================================
#============= FORWARD lanc ======================
#=================================================
#----SIEBEL
$IPTABLES -A FORWARD -j ACCEPT -s 145.236.99.251
$IPTABLES -A FORWARD -j ACCEPT -d 145.236.99.251
$IPTABLES -A FORWARD -j ACCEPT -s 212.51.126.113
$IPTABLES -A FORWARD -j ACCEPT -d 212.51.126.113
$IPTABLES -A FORWARD -j HIBAS_TCP
$IPTABLES -A FORWARD -p udp -j UDP_FORWARD
$IPTABLES -A FORWARD -p tcp -j TCP_FORWARD
$IPTABLES -A FORWARD -p icmp -j ICMP
$IPTABLES -A FORWARD -j ACCEPT -m state --state RELATED,ESTABLISHED
#$IPTABLES -A FORWARD -j ACCEPT -p tcp -s $SAJATLAN -d $SAJATLAN
#-- Eldobottak loggolasa
$IPTABLES -A FORWARD -j DLOG
#/usr/sbin/brctl stp br0 on
$IPTABLES -o ppp0 --insert FORWARD 1 -p tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
#================ DHCP tiltasa nem belso LAN-rol ================================
$EBTABLES -A INPUT --in-interface tap0 --protocol IPv4 --ip-protocol udp --ip-source-port 68 -j DROP
$EBTABLES -A INPUT --in-interface tap0 --protocol IPv4 --ip-protocol udp --ip-destination-port 67 -j DROP
$EBTABLES -A FORWARD --in-interface eth1 --protocol IPv4 --ip-protocol udp --ip-source-port 68 -j DROP
$EBTABLES -A FORWARD --in-interface tap0 --protocol IPv4 --ip-protocol udp --ip-destination-port 67 -j DROP
dmesg -n1
- A hozzászóláshoz be kell jelentkezni
ha van proxytok akkor azon is ki tud menni...........
- A hozzászóláshoz be kell jelentkezni
ja-ja, squid -ot bekonfigolni a kliensnek aztán had szóljon...
- A hozzászóláshoz be kell jelentkezni